Upload
otto-pfaff
View
230
Download
0
Embed Size (px)
Citation preview
DR. REIMANN Projektmanagement GmbH 1
IT-Sicherheit
Dr. Grit Reimann
DR. REIMANN Projektmanagement GmbH
IT-Sicherheit
DR. REIMANN Projektmanagement GmbH 2
IT-Sicherheit
Daten sind Ausgangspunkt und Ziel jeder IT-Lösung
Programmfehler führen zu falschen Systemausfälle verhindern Zugriff auf Hackerangriffe richten sich gegen
Grundprinzip der IT-Sicherheit:
Sicherheit einer IT-Lösung=
Sicherheit Ihrer Daten
Daten
DR. REIMANN Projektmanagement GmbH 3
IT-Sicherheit
VertraulichkeitDaten können nur durch Befugte genutzt werden.
Datenintegrität Daten können nicht unbefugt geändert werden.
VerfügbarkeitDaten werden zu den festgelegten Zeiten im festgelegten Umfang zur Verfügung gestellt.
Authentizität Die Identität der Datenherkunft ist sichergestellt.
Bestandteile der IT-Sicherheit:
DR. REIMANN Projektmanagement GmbH 4
IT-Sicherheit
gefälschte Bilanzen, Arbeitsergebnisse, Revisionsberichte, Pläne und andere Festlegungen
Programme sind nicht oder nicht im erforderlichen Umfang nutzbar
Testergebnisse nicht auswertbar
fehlerhafte Leistungsnachweise und andere Dokumente
Mögliche Folgen mangelnder Datenintegrität:
DR. REIMANN Projektmanagement GmbH 5
IT-Sicherheit
Arbeitsausfälle durch fehlende Zugriffsmöglichkeit auf Daten
hohe Kosten für Wiederherstellung zerstörter Datenbestände
Programme können nicht zum erforderlichen Zeitpunkt genutzt werden
Bilanzdaten stehen nicht rechtzeitig zur Verfügung
Mögliche Folgen mangelnder Verfügbarkeit:
DR. REIMANN Projektmanagement GmbH 6
IT-Sicherheit
Rufschädigung durch zweifelhafte Veröffentlichungen im Namen des Unternehmens oder einzelner Personen
Störungen des Arbeitsablaufes durch angeblich von der Unternehmensleitung stammende Festlegungen und Pläne
falsche Forschungsergebnisse werden versendet
Diskriminierung / Schädigung von Personen durch Emails mit deren Absender
Mögliche Folgen mangelnder Authentizität:
DR. REIMANN Projektmanagement GmbH 7
IT-Sicherheit
höhere GewaltKatastrophen, Feuer, Wasser, …
organisatorische Mängelfehlende / nicht eingehaltene Regelungen
menschliche FehlhandlungenBenutzer / Administratoren
technisches VersagenFehler in Hardware und Software
vorsätzliche HandlungenSabotage, Spionage, Hacker, ...
Sicherheitsbedrohungen:
DR. REIMANN Projektmanagement GmbH 8
IT-Sicherheit
Raten von Passwortenmeist erfolgreich, wenn Informationen über die Zielperson vorliegen
Ausspionieren von Passworten offene Augen im Büro Mitteilung durch die Eigentümer selbst unverschlüsselte Passworte aus den Datenpaketen
Systematisches Knacken durch eine Brute Force AttackePasswortknackersystematische Wörterbücher
Phishing„Fischen“ des Passwortes u.a. über gefälschte Webseiten
Angriffe auf Passworte:
Ein verantwortlicher Umgang mit Paßwörtern
erhöht die Sicherheit des Netzes erheblich.
DR. REIMANN Projektmanagement GmbH 9
IT-SicherheitProvozieren von Laufzeitfehlern:
Immer die aktuellen Programmversionen
und Patches verwenden!
Programme sind IMMER mit Fehlern behaftet
Kenntnisse über neu entdeckte Programmfehler werden in der Hackerszene schnell verbreitet.
Durch provozierte Laufzeitfehler können Hacker auf den Zielrechnern eigene Programme starten.
Besonderes Ziel solcher Angriffe sind Programme mit Systemrechten.
DR. REIMANN Projektmanagement GmbH 10
IT-SicherheitSniffing (= IP-Pakete abfangen und analysieren)
Abfangen ALLER Informationen, die durch das Netz laufen v.a. vertrauliche Informationen (z.B. Paßwörter)
im lokalen Netz sehr einfach, wenn keine Verschlüsselung vorhanden
an der Schnittstelle eines Firmennetzes zum Internet mittels Angriffen auf Router möglich
besonders unkompliziert in Wireless LANs (Funknetzen)
DR. REIMANN Projektmanagement GmbH 11
IT-SicherheitSpoofing (= Vortäuschen einer falschen Identität)
IP-SpoofingVorspiegeln einer falschen IP-Adresse
MAC-SpoofingÜbermitteln einer falschen MAC-Adresse
DNS-SpoofingÄnderung der Zuordnung Hostname - IP-Adresse im Cache des Nameservers
DR. REIMANN Projektmanagement GmbH 12
IT-SicherheitDenial of Service (= Außerbetriebsetzen von IT-Komponenten)
Überlasten von ServernBlockade während des Angriffs / völliger Absturz z.B. durch
Überlasten anderer Netzkomponenten (z.B. Access Points)z.B. durch Auslastung der gesamten Bandbreite
Erzeugen von Buffer Overflows(nicht nur für DoS, auch für Start destruktiver Programme)
Ausnutzen spezieller Schwachstellenz.B. Ping Of Death, Search DoS, STAT Crash
Starten immer neuer Programme SynFlooding-Attacken
DR. REIMANN Projektmanagement GmbH 13
IT-Sicherheit
systematisches Aushorchen von Mitarbeitern
Informationen vom Systemadministrator erschleichen
Informationen vom Benutzerservice erschleichen
Social Engineering
Regelmäßige Sensibilisierungen und Schulungen der Mitarbeiter sind das effektivste Mittel zur Gewährleistung der IT-Sicherheit!
DR. REIMANN Projektmanagement GmbH 14
IT-Sicherheit
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Verfügbarkeitskontrolle
Eingabekontrolle
Weitergabekontrolle
Auftragskontrolle
Gewährleistung getrennter Verarbeitung
Anforderungen des BDSG
DR. REIMANN Projektmanagement GmbH 15
IT-Sicherheit
Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen verwehrt,
mit denen personenbezogene Daten verarbeitet oder genutzt werden.
Zutrittskontrolle
Das Betreten von Räumen wird kontrolliert, in denen sich Datenverarbeitungsanlagen befinden.
Unbefugte sollen keine Möglichkeit bekommen, sich in Räumen aufzuhalten, in denen sich Datenverarbeitungsanlagen befinden.
Es soll nachvollziehbar sein, wer sich wann in welchem Raum mit Datenverarbeitungsanlagen aufgehalten hat.
DR. REIMANN Projektmanagement GmbH 16
IT-Sicherheit
Es wird verhindert, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können.
Zugangskontrolle
Die Benutzung von Datenverarbeitungssystemen wird kontrolliert.
Unbefugte befinden sich zwar in einem Raum mit Datenverarbeitungssystemen, können diese aber nicht benutzen.
Es soll nachvollziehbar sein, wer welches Datenverarbeitungssystem wann benutzt hat.
DR. REIMANN Projektmanagement GmbH 17
IT-Sicherheit
Zugriffskontrolle
Es wird gewährleistet, dass die Berechtigten ausschließlich auf die
Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen,
und dass personenbezogene Daten bei der Verarbeitung, Nutzung und
nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können.
DR. REIMANN Projektmanagement GmbH 18
IT-SicherheitZugriffskontrolle
Der Zugriff auf konkrete Daten wird kontrolliert.
Befugte benutzen eine Datenverarbeitungsanlage, können aber nicht auf alle Daten zugreifen.
Es soll nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat.
DR. REIMANN Projektmanagement GmbH 19
IT-SicherheitZugriffskontrolle
Personenbezogene Daten sollen nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden können.
DR. REIMANN Projektmanagement GmbH 20
IT-SicherheitVerfügbarkeitskontrolle
Personenbezogene Daten sollen nicht unbefugt zu den festgelegten Zeiten im festgelegten Umfang
zur Verfügung gestellt werden.
Personenbezogene Daten werden gegen zufällige Zerstörung oder Verlust geschützt.
Die Verfügbarkeit entspricht den rechtlichen und betrieblichen Erfordernissen.
DR. REIMANN Projektmanagement GmbH 21
IT-SicherheitEingabekontrolle
setzt eine wirksame Zugangskontrolle und Zugriffskontrolle voraus
Es kann nachträglich überprüft und festgestellt werden, ob und von wempersonenbezogene Daten in Datenverarbeitungssysteme eingegeben,verändert oder entfernt worden sind.
funktioniert nur mit einer zuverlässigen Organisation von Kontrolle und Auswertung
erfordert technische Lösungen in den Anwendungssystemen selbst, und / oder in Zusatz-Systemen zu den Anwendungen
DR. REIMANN Projektmanagement GmbH 22
IT-Sicherheit
Personenbezogene Daten können bei der elektronischen Übertragung oder
während ihres Transports oder ihrer Speicherung auf Datenträger nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden und es kann
festgestellt werden, an welchen Stellen eine Übermittlung personen-
bezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Weitergabekontrolle
DR. REIMANN Projektmanagement GmbH 23
IT-SicherheitWeitergabekontrolle
In der Praxis besonders kritisch bei
• Versand von Emails
• Nutzung von Wireless LANs
• Transport von Backup-Datenträgern
• Umgang mit Ausdrucken
DR. REIMANN Projektmanagement GmbH 24
IT-SicherheitWeitergabekontrolle
In der Praxis besonders schwierig festzustellen bei
• Remote-Wartungszugängen (auch für TK-Anlagen)
• Backup-Datenleitungen (WAN / ISDN / Modem)
• Nutzung von Wireless LANs, Infrarot und Bluetooth
• Nutzung von Mobilfunknetzen
DR. REIMANN Projektmanagement GmbH 25
IT-Sicherheit
Es wird gewährleistet, das personenbezogen Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Auftragskontrolle
setzt besonders gut aufeinander abgestimmte technische und organisatorische Maßnahmen sowohl beim Auftraggeber als auch
beim Auftragnehmer voraus
die Lösung des Auftraggebers und des Auftragnehmers müssen sich zu einer Gesamtlösung ergänzen
beinhaltet auch Maßnahmen zur Gewährleistung der Kontrollrechte des Auftraggebers
DR. REIMANN Projektmanagement GmbH 26
IT-SicherheitGewährleistung getrennter Verarbeitung
In der Praxis z.B. von Bedeutung für
Zusatzerhebungen bei bestehenden Kunden für Zwecke der Werbung oder Marktforschung
Verarbeitung von Daten derselben Person in verschiedenen Anwendungen durch ein Rechenzentrum
mehrfache Datenerhebungen bei einer Person für verschieden Forschungszwecke
Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden können.